応用情報技術者 2020年 秋期 午後 問05
仮想デスクトップ基盤の導入に関する次の記述を読んで、設問1~3に答えよ。
L社は、本社のほか、全国に5か所の営業所をもつ中堅の医療機器販売会社である。L社では、本社と営業所の間を広域イーサネットサービス網(以下、広域イーサ網という)で接続し、業務サーバやファイルサーバ(以下、FSという)などを運用している。現在のL社のネットワーク構成を図1に示す。
L社の本社と営業所の社員による、現状のNPCの利用形態を次に示す。
・本社の社員は、サーバ室の業務サーバを利用するとともに、ルータ1経由でインターネットにアクセスする。資料の印刷はオフィスエリアのPRで行い、ファイル共有はサーバ室のFS1で行う。
・営業所の社員は、広域イーサ網経由で本社の業務サーバを利用するとともに、自営営業所のルータ経由でインターネットにアクセスする。資料の印刷は自営営業所のPRで行い、ファイル共有は自営営業所のFS(FS2~6)と本社のFS1の両方で行う。
・本社と営業所の営業員は、外出時に各自のNPCを携帯し、NPCに保存したファイルを使って、顧客先でプレゼンテーションや製品の説明などを行う。
〔現状の問題点と改善策の実施〕
L社では、営業員が外出時にNPCを持ち出すので、NPCの紛失などによる秘密情報の漏えいリスクがあり、改善策が求められていた。一方、営業員からは、外出先でもNPCを利用して社内と同じ作業を行いたいという要望が挙がっていた。また、情報システム部では、営業所のシステム運用負荷を軽減したいという課題をもっていた。そこで、L社では、仮想デスクトップ基盤(以下、VDIという)の導入を決め、VDI導入プロジェクトを立ち上げた。このプロジェクトの責任者となった情報システム部のM課長は、部下のN主任に、導入するネットワーク構成の設計を指示した。
〔VDIの導入後のネットワーク構成の検討〕
N主任は、VDIの方式を調査してネットワーク構成を検討した。N主任が設計したVDI導入後のネットワーク構成を図2に示す。
N主任が、VDI導入後のネットワーク構成と併せて検討した運用方法を次に示す。
・本社のサーバ室に、仮想PCを稼働させるVDIサーバと関連機器を導入する。
・5か所の営業所のFS2~6を、本社のサーバ室に移設するとともに、サーバ室にDHCPサーバを導入して、全社のTC及び仮想PCにIPアドレスなどのネットワーク情報を付与する。そのほかに、営業所からのインターネットアクセスを本社経由に変更することで、営業所のシステム運用負荷を軽減する。
・VDIの導入時に、NPCの内蔵ディスクに保存されているファイルを、VDIサーバに接続するディスクシステムに移した後、NPCから消去してNPCをTC化する。
・社内からは、TCでセッション管理サーバに接続して認証を受けた後に、当該利用者向けの仮想PCが使用できる。仮想PCからTCに、画面の情報が転送される。
・外出先からは、DMZに導入するSSL-VPN装置経由で仮想PCを使用する。TCでSSL-VPN装置に接続すると、TCに保存されたクライアント証明書と、利用者ID、パスワードという異なった利用者認証方式を組み合わせたa認証を受ける。SSL-VPN装置は、bと認証連携して、SSL-VPN装置での認証だけで仮想PCを使用できるようにする。
・TCで仮想PCに接続すると、社内と同じ作業が外出先でも行える。
〔通信トラフィックの変化内容の検討〕
次に、N主任は、VDI導入による通信トラフィックの変化について検討した。最初に、現在、全社で発生している主要な通信の種類と内容を表1にまとめた。
次に、表1に示す通信に対する通信帯域の実績値などを基に、VDI導入後に、本社の社員向けの全仮想PC(以下、本社仮想PCという)及び五つの営業所の社員向けの全仮想PC(以下、全営業所仮想PCという)で発生する通信について検討した。N主任がまとめた、VDI導入後の最も混雑した時間帯に必要な平均通信帯域の予測値を表2に示す。表2中の項番6、7は、VDI導入後に新たに発生する通信であり、項番7は、外出先のTCがSSL-VPN装置経由で仮想PCを使用したときに発生する通信である。
表2の結果から、プロバイダと契約している広域イーサ網への接続回線の帯域、及び本社のインターネットへの接続回線の帯域の見直しは、不要であると判断できた。N主任は、検討結果をM課長に報告し、VDIの導入構成案が承認された。
設問1:
本文中のa、bに入れる適切な字句を答えよ。
模範解答
a:2要素 又は 多要素 又は 2段階
b:セッション管理サーバ
解説
解答の論理構成
-
異なる認証方式を組み合わせるとは
【問題文引用】
「TCに保存されたクライアント証明書と、利用者ID、パスワードという異なった利用者認証方式を組み合わせたa認証を受ける。」
– クライアント証明書(所持情報)+ID/パスワード(知識情報)で 2 種類の要素を用いているため、2 要素認証(=多要素認証、2 段階認証)と判断できます。
– よって a には「2要素」「多要素」「2段階」のいずれかが入ります。 -
認証連携の相手先を特定する
【問題文引用】
「SSL-VPN装置は、bと認証連携して、SSL-VPN装置での認証だけで仮想PCを使用できるようにする。」
– 図2では VDI 関連機器として「セッション管理サーバ」が描かれており、これがユーザごとに仮想 PC を割り当てる役目を担います。
– SSL-VPN 装置がこのサーバと連携すれば、1 回の認証で仮想 PC まで利用可能になる(シングルサインオン)という流れが成り立ちます。
– したがって b は「セッション管理サーバ」です。
誤りやすいポイント
- クライアント証明書+ID/パスワードを「2段階“ログイン”」などと書き換えてしまう。設問は「認証」方式名を求めているので「2要素」「多要素」「2段階」の語が必要です。
- b に「VDIサーバ」や「DHCPサーバ」を選んでしまう。ユーザと仮想 PC の紐付けを行うのはセッション管理サーバである点を見落としがちです。
- SSL-VPN 装置=外部アクセス機器という先入観から、内部サーバとの連携対象を意識せずに解答してしまう。
FAQ
Q: 2要素認証と2段階認証は何が違うのですか?
A: 試験範囲では同義語として扱われる場合が多く、いずれも「異なるカテゴリーの認証要素を2つ以上組み合わせて本人確認を強化する方式」を指します。
A: 試験範囲では同義語として扱われる場合が多く、いずれも「異なるカテゴリーの認証要素を2つ以上組み合わせて本人確認を強化する方式」を指します。
Q: セッション管理サーバは具体的にどんな役割を持つのですか?
A: 利用者の認証情報を受け取り、どの仮想PCを割り当てるかを制御します。VDI サーバ自体は仮想PCを実行するだけで、誰にどれを提示するかはセッション管理サーバが決めます。
A: 利用者の認証情報を受け取り、どの仮想PCを割り当てるかを制御します。VDI サーバ自体は仮想PCを実行するだけで、誰にどれを提示するかはセッション管理サーバが決めます。
Q: SSL-VPN 装置とセッション管理サーバの認証連携とは何を意味しますか?
A: SSL-VPN 側で本人確認が完了すると、その結果をセッション管理サーバへ引き渡し、再入力なしで仮想PCを起動できるしくみ(シングルサインオン)を指します。
A: SSL-VPN 側で本人確認が完了すると、その結果をセッション管理サーバへ引き渡し、再入力なしで仮想PCを起動できるしくみ(シングルサインオン)を指します。
関連キーワード: 2要素認証、SSL-VPN, シングルサインオン、VDI, セッション管理
設問2:図1及び図2について、(1)、(2)に答えよ。
(1)図1の構成で、本社のNPC及び営業所1のNPCそれぞれに設定されているデフォルトゲートウェイの機器を、それぞれ図1中の名称で答えよ。
模範解答
本社のNPC:L3SW1
営業所1のNPC:L3SW2
解説
解答の論理構成
- 【問題文】では「図1の構成で、本社のNPC及び営業所1のNPCそれぞれに設定されているデフォルトゲートウェイの機器」を問うています。デフォルトゲートウェイとは、端末が他セグメントへ通信するときに最初にパケットを転送するルータ(またはレイヤ3機器)のことです。
- 図1では、本社オフィスエリアの端末群が接続する上位のレイヤ3機器は「L3SW1」、営業所事務室の端末群が接続する上位のレイヤ3機器は「L3SW2」です。
- したがって、
・本社のNPCは、同一セグメント内で最初にパケットを受け取る「L3SW1」をデフォルトゲートウェイとします。
・営業所1のNPCは、同様に営業所事務室のルーティングを担う「L3SW2」をデフォルトゲートウェイとします。
誤りやすいポイント
- 端末直結のスイッチ(例:L2SW3)をゲートウェイと勘違いする。レイヤ2機器はIPルーティングを行わないため利用できません。
- ルータ1を全社共通ゲートウェイと誤認する。ルータ1はインターネット境界用であり、社内セグメント間の最初のルーティングポイントは各レイヤ3スイッチです。
- 「営業所1」と「営業所5」など複数営業所がある図で、どの営業所でもゲートウェイ名が同じと早合点し番号を混同する。設問は営業所1を指定している点に注意が必要です。
FAQ
Q: なぜレイヤ3スイッチがゲートウェイになるのですか?
A: レイヤ3スイッチはスイッチング機能に加えIPルーティング機能を持ち、VLAN間や他セグメントへのパケット転送を担当するためです。
A: レイヤ3スイッチはスイッチング機能に加えIPルーティング機能を持ち、VLAN間や他セグメントへのパケット転送を担当するためです。
Q: もし社内にDHCPサーバがあれば、デフォルトゲートウェイ設定はどうなりますか?
A: DHCPサーバが端末へ「Router(Option 3)」を配布します。配布されるIPアドレスは本解説で示したレイヤ3スイッチ(「L3SW1」「L3SW2」)のインタフェースアドレスです。
A: DHCPサーバが端末へ「Router(Option 3)」を配布します。配布されるIPアドレスは本解説で示したレイヤ3スイッチ(「L3SW1」「L3SW2」)のインタフェースアドレスです。
Q: ルータ1とL3SW1の役割はどう区別すれば良いでしょうか?
A: 「L3SW1」は社内各セグメント間を中継するコアスイッチの役割、「ルータ1」は社内ネットワークと「インターネット」を接続する境界ルータの役割です。
A: 「L3SW1」は社内各セグメント間を中継するコアスイッチの役割、「ルータ1」は社内ネットワークと「インターネット」を接続する境界ルータの役割です。
関連キーワード: ルーティング、デフォルトゲートウェイ、レイヤ3スイッチ、VLAN
設問2:図1及び図2について、(1)、(2)に答えよ。
(2)図2の構成で、営業所1内のTC向けにDHCPリレーエージェントを稼働させる機器を図2中の名称で答えよ。また、DHCPリレーエージェントが必要になる理由を、40字以内で述べよ。
模範解答
機器名:L3SW2
理由:DHCPサーバは、営業所1のTCと異なったセグメントに設置されるから
解説
解答の論理構成
-
DHCPサーバの設置場所を確認
「サーバ室にDHCPサーバを導入して、全社のTC及び仮想PCにIPアドレスなどのネットワーク情報を付与する。」
─ 本社サーバ室内に集中配置されることが分かります。 -
営業所1のネットワーク区分を確認
図2より営業所1には「L3SW2」と複数の「TC」があり、さらに
「本社のルータ1、DMZ、サーバ室、オフィスエリア、営業所のルータおよび事務室は、異なるセグメントである。」
─ 本社サーバ室と営業所1のTCはセグメントが異なります。 -
DHCPブロードキャストの性質
DHCP Discover などの要求はブロードキャストで送出され、ルータを越えられません。
したがって異なるセグメントに居るサーバへ届かせるにはリレーエージェントが必要です。 -
リレーエージェント設置機器の選定
・営業所1内でルーティング機能を持ち、TCから最も近い機器は「L3SW2」。
・この機器がDHCPメッセージをユニキャストに変換し、本社サーバ室のDHCPサーバへ転送できます。
以上より
機器名:L3SW2
理由:DHCPサーバは営業所1のTCと異なるセグメントにあるため
機器名:L3SW2
理由:DHCPサーバは営業所1のTCと異なるセグメントにあるため
誤りやすいポイント
- ルータではなくL3SW2を選ぶ
営業所1のL3SW2がセグメント境界であり最も近接。図にルータ機器は描かれていません。 - 「同じ広域イーサ網だから不要」と思い込む
広域イーサ網はレイヤ2での接続ではなく、セグメントが分離されている点に注意。 - DHCPサーバの場所を読み違える
サーバ室(本社)に集約されたため、従来の営業所側FS移設と混同しがちです。
FAQ
Q: DHCPリレーエージェントは必ずL3スイッチで動かさなければなりませんか?
A: ルーティングを行う機器であれば実装可能ですが、図2では営業所1のL3SW2が最適です。
A: ルーティングを行う機器であれば実装可能ですが、図2では営業所1のL3SW2が最適です。
Q: ブロードキャストを通さずにVPNトンネルでDHCPを届けられませんか?
A: 可能な製品もありますが、本設問は標準的なIPv4ネットワーク前提でリレーエージェントを用いる想定です。
A: 可能な製品もありますが、本設問は標準的なIPv4ネットワーク前提でリレーエージェントを用いる想定です。
Q: IPアドレスが固定ならリレーエージェントは不要ですか?
A: はい。スタティック割当であればリレー機能は不要ですが、問題文では「DHCPサーバを導入して」動的に配布すると明示されています。
A: はい。スタティック割当であればリレー機能は不要ですが、問題文では「DHCPサーバを導入して」動的に配布すると明示されています。
関連キーワード: DHCP, ブロードキャスト、リレーエージェント、セグメント、ルーティング
設問3:〔通信トラフィックの変化内容の検討に〕ついて、(1)、(2)に答えよ。
(1)VDI導入後に、広域イーサ網を経由しなくなる通信の種類を表1中の項番で、新たに広域イーサ網を経由する通信の種類を表2中の項番で、それぞれ全て答えよ。また、VDI導入後の、図2中のL3SW1から広域イーサ網に向けた通信について、最も混雑した時間帯の平均通信帯域を、Mビット/秒で答えよ。
模範解答
経由しなくなる通信:1, 2
新たに経由する通信:4, 6
平均通信帯域:35
解説
解答の論理構成
-
現状で広域イーサ網を経由している通信を確認
- 営業所の社員は「広域イーサ網経由で本社の業務サーバを利用」するので、表1の「1 業務サーバ利用通信」が該当します。
- さらに「ファイル共有は自営営業所のFS(FS2~6)と本社のFS1の両方で行う」とあるため、表1の「2 FS1利用通信」も広域イーサ網を通ります。
- 他の通信(3、4、5)は営業所内完結またはインターネットへ直接出ており、広域イーサ網は介しません。
-
VDI導入後に経路が変わるポイントを抽出
- 「5か所の営業所のFS2~6を、本社のサーバ室に移設」とあるため、営業所‐本社間のファイル共有は不要になります。
- 「仮想PCからTCに、画面の情報が転送される。」ので、表2の「6 画面転送通信(社内)」が新たに広域イーサ網に乗ります。
- 仮想PCが本社側で動作し、印刷は「仮想PCからPRに印刷を行うときの通信」であるため、表2の「4 プリント通信」も営業所へ流れる形となり、広域イーサ網を経由します。
- 表2の「7 画面転送通信(外出先)」はインターネット経由なので広域イーサ網には無関係です。
-
以上より、 経由しなくなる通信:表1「1」「2」
新たに経由する通信:表2「4」「6」 -
帯域計算
- 広域イーサ網を通るのは表2の「4 プリント通信 20M」と「6 画面転送通信(社内) 15M」(いずれも全営業所仮想PC列)。
- 最も混雑した時間帯は同一である(表2注記1)ため、単純合計で
- よって、L3SW1から広域イーサ網への平均通信帯域は「35 Mビット/秒」となります。
誤りやすいポイント
- 表2「7 画面転送通信(外出先)」を足してしまう
→ インターネット経由であり広域イーサ網には乗りません。 - 「インターネット利用通信」を広域イーサ網に含める誤解
→ 仮想PCは本社側にあるため、外部との通信は本社から直接外に出ます。 - もともと営業所内で完結していた「営業所FS利用通信」を残してしまう
→ FS2~6を本社に移設したので今度は本社内完結になります。
FAQ
Q: プリンタは営業所に残っています。なぜ「プリント通信」が新たに広域イーサ網を通るのですか?
A: 印刷データを生成するのは本社側の仮想PCです。生成されたデータを営業所のPRへ送るため、広域イーサ網を経由します。
A: 印刷データを生成するのは本社側の仮想PCです。生成されたデータを営業所のPRへ送るため、広域イーサ網を経由します。
Q: 外出先TCの画面転送(表2項番7)は広域イーサ網の帯域検討に全く不要ですか?
A: はい。外出先TCはインターネット→SSL-VPN装置→本社内部に到達するルートであり、営業所と本社を結ぶ広域イーサ網には関係しません。
A: はい。外出先TCはインターネット→SSL-VPN装置→本社内部に到達するルートであり、営業所と本社を結ぶ広域イーサ網には関係しません。
Q: FS2~6を本社に移設すると、営業所のファイル共有はどうなりますか?
A: 営業所社員の仮想PCも本社内にあるため、ファイルサーバと同一セグメント内通信となり、広域イーサ網は介在しません。
A: 営業所社員の仮想PCも本社内にあるため、ファイルサーバと同一セグメント内通信となり、広域イーサ網は介在しません。
関連キーワード: 仮想デスクトップ、画面転送、シンクライアント、広域イーサネット、帯域設計
設問3:〔通信トラフィックの変化内容の検討に〕ついて、(1)、(2)に答えよ。
(2)表2中の項番5及び7の通信は、本社のルータを経由して行われるが、項番7の通信の平均通信帯域(36Mビット/秒)は、項番5の通信の平均通信帯域(75Mビット/秒)に含まれない。その理由を30字以内で述べよ。
模範解答
インターネット利用通信と逆方向のトラフィックだから
解説
解答の論理構成
- 表2の項番5は「インターネット利用通信」で、内容は「仮想PCからインターネットにアクセスするときの通信」です。
受信側(インターネット→仮想PC)でデータ量が大きくなるため、平均通信帯域の欄には「通信帯域が大きい通信方向」として「75Mビット/秒(60M+15M)」が記載されています。 - 項番7は「画面転送通信(外出先)」で、内容は「仮想PCから外出先のTCへの通信」です。
画面データは仮想PC(社内)→TC(社外)へ流れるため、通信方向は「送信側(社内→インターネット)」です。平均通信帯域は「36Mビット/秒」と示されています。 - 問題文には「各通信とも双方向で行われるが、平均通信帯域の欄は、通信帯域が大きい通信方向の値を示している。」とあります。
よって項番5で示された 75Mビット/秒は受信方向、項番7で示された 36Mビット/秒は送信方向です。 - 両者は同じルータを経由していても“帯域が大きい方向”が逆で重ならないため、項番7の 36Mビット/秒は項番5の 75Mビット/秒に含まれません。
⇒ 解答:「インターネット利用通信と逆方向のトラフィックだから」
誤りやすいポイント
- 「同じインターネット経由=同一帯域で計上」と早合点し、通信方向の指定を見落とす。
- 「画面転送=小容量」と決め付け、帯域を軽視してしまう。
- 表中の「―」や注記を読まずに、送受信のどちらが集計対象かを混同する。
FAQ
Q: 受信方向と送信方向を分けて帯域を見積もる必要がありますか?
A: はい。表2の注記どおり「通信帯域が大きい通信方向」を個別に算出しないと、重複計上や過小評価につながります。
A: はい。表2の注記どおり「通信帯域が大きい通信方向」を個別に算出しないと、重複計上や過小評価につながります。
Q: 画面転送通信の帯域は圧縮で下がるのでは?
A: 圧縮は効きますが、同時接続数が多い時間帯は合計で数十Mbps規模になります。圧縮効果だけに頼らず実測値やベンチマークを参考にしてください。
A: 圧縮は効きますが、同時接続数が多い時間帯は合計で数十Mbps規模になります。圧縮効果だけに頼らず実測値やベンチマークを参考にしてください。
Q: 双方向の合計ではなく片方向だけを採用する理由は?
A: 回線設計でボトルネックになるのは片方向のピーク帯域であることが多く、上り下りが対称回線なら片方向ピークで十分評価できるためです。
A: 回線設計でボトルネックになるのは片方向のピーク帯域であることが多く、上り下りが対称回線なら片方向ピークで十分評価できるためです。
関連キーワード: トラフィック方向、画面転送、SSL-VPN, 帯域設計、仮想デスクトップ
